不仅让涉事平台承担着高昂的损失费用,还可能因危及大量用户的个人信息安全,面临着巨额罚款。
2020年11月,美国酒店集团万豪就因遭受网络攻击,致使数百万客户个人数据泄露,收到了英国监管机构(ICO)开具的1840万英镑巨额罚单。ICO调查发现,万豪没有按照通用数据保护条例(GDPR)要求,采取适当的技术或组织措施来保护其系统上的个人数据。
社交巨头脸书亦多次深陷数据泄露的泥潭。今年4月,脸书被指泄露5.33亿用户数据,尽管后来澄清系2年前的旧消息,并已修复相关漏洞。但不由让人联想起2018年英国“剑桥分析”公司非法获取8700万脸书用户数据一事,此案最终以脸书同意支付50亿美元罚款落幕。
随着国家及地方的立法纷纷落地,压在我国企业肩头的数据安全的担子也将逐渐变重。
6月10日通过的《数据安全法》规定,开展数据活动的组织、个人不履行数据安全保护义务的(包括采取必要措施保障数据安全、加强风险监测、开展风险评估等),由有关主管部门责令改正,给予警告,可以并处5万元以上50万元以下罚款。
正在二审的《个人信息保护法》草案也对个人信息处理者提出了相应要求,如制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密、采取相应的加密和去标识化等安全技术措施、制定并组织实施个人信息安全事件应急预案等。
深圳、上海、天津、安徽等地的数据立法同样高度重视数据安全问题。
如6月2日发布的《深圳经济特区数据条例(征求意见稿)》提到,数据处理者应当落实数据安全管理责任,防止数据泄露、毁损、丢失、篡改和非法使用,落实监测预警措施,制定数据安全应急预案,风险发生时及时告知相关权利人,并向网信部门和有关行业主管部门报告。
不当使用爬虫涉多重法律风险
对内,作为数据收集和处理者的企业应建立起完善的数据保护体系;对外,爬虫等网络技术的应用也亟需进一步规范。
网络爬虫是互联网时代一项运用非常普遍的网络信息搜索技术,最早应用于搜索引擎领域,通过搜集网页上的信息或数据,将其纳入数据库中。
不当使用网络爬虫技术可能带来多重法律风险。除了上述提到的非法获取计算机信息系统数据、非法控制计算机信息系统罪和侵犯公民个人信息罪,还可能触及侵犯著作权罪、诈骗罪,构成不正当竞争等。
如上海市徐汇区人民法院公布的一起案件中,段某于2013年开设视频网站,未经著作权人许可,利用爬虫技术对乐视、土豆等视频网站的影视作品设置加框链接,屏蔽片头广告,转而在自己的网页内发布广告,获利74万多元。法院最终判定段某构成侵犯著作权罪。
另一则上海市宝山区人民法院公布的案件中,爬虫技术成为了实施诈骗的工具。叶某雇佣他人,通过购买爬虫软件获取淘宝网新开店店家信息,冒充淘宝客服人员向店家发送店铺未激活、交易关闭等虚假信息,以帮助店家解决问题为由诱骗被害人同意其进行远程协助并提供支付宝账户及密码,后其通过电脑远程操作的方式使用被害人支付宝为视频账户充值。法院认为,叶某的行为构成诈骗罪。
与爬虫相关的法律问题,更多的是涉及垄断及不正当竞争的争议。如2013年的“百度诉360案”、2017年的“酷米客诉车来了案”,以及2016年的“微博诉脉脉非法抓取用户信息案”。